lupo45 10 Geschrieben 27. Dezember 2005 Melden Teilen Geschrieben 27. Dezember 2005 Hallo zusammen, vielleicht kennt ja jemand eine Anlaufstelle für mein Anliegen. Mir geht es darum, daß unterstützend zu konventionellen AV-Systemen (auf Clients, Mail-Servern und Gateways, Proxy-Server usw...) in einer GPO definiert sein soll, welche Dateien nicht ausgeführt werden dürfen. Prinzipiell funktioniert das recht gut. Hatte neulich ein System, das mit einem Trojaner verseucht war, der durch die hiesigen AV-Programme weder erkannt noch beseitigt wurde. Nachdem ich den Hash-Wert der Datei in einer entspr. GPO eingetragen hatte wurde der Schädling nicht mehr ausgeführt und mit dem System konnte wieder gearbeitet werden. Jetzt ist natürlich die Frage, wie man am besten dafür sorgt, daß die GPO up2date gehalten wird und mit immer neuen Hash-Werten gefüllt wird. Die eine Lösung wär manuell: einfach abwarten, bis ein System befallen ist, anschliessend den Übeltäter ausfindig machen und "herholen", Datei-Hash berechnen und GPO einstellen. Die andere Lösung wär schicker: ich bekomme die Hash-Werte von einer zuverlässigen Quelle aus dem Internet. Am besten dann natürlich noch als importierbare Datei...irgendsowas in der Richtung... So, und jetzt die 2. Frage, nämlich, wie kann ich eine bestimmte GPO domänenübergreifend verteilen? So, daß ich die Einstellung nur an einer bestimmten Stelle vornehme und diese von dort aus auf die anderen Domains übertragen wird? Wenn's keine bessere Lösung gibt würd ich einfach die entsprechenden INI-Dateien aus dem GPO-Ordner in die entsprechenden Ordner der GPO's in den Zieldomains (bzw. DC) reinkopieren...oder wie geht's sonst noch? (mir ist eine automatisierbare Lösung wichtig, irgendwo rumklicken bringt's da glaub ich nicht wirklich) BTW: Wer jetzt meint mit Kommentaren kommen zu müssen nach dem Motto ist doch der falsche Ansatz, da müssen die AV-Hersteller nachbessern oder es sollte doch die Infrastruktur sonstwie optimiert werden: danke, spart euch in dem Fall bitte einfach jeden Kommentar, da mir das nicht weiterhilft! Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 27. Dezember 2005 Melden Teilen Geschrieben 27. Dezember 2005 Hi Dennis, nicht erschiessen, aber der Ansatz ist wirklich falsch. Du solltest Applikationen anhand des Hashes erlauben und den Rest verbieten. Sorry - bin halt doch irgendwie Klug********r.... BTW: Eine Idee hätte ich noch bezgl. der GPs: Hast du denn mehrere Standorte? Sonst könntest du eine Standortrichtlinie einsetzen. Die greift über Domänen hinweg... Zitieren Link zu diesem Kommentar
lupo45 10 Geschrieben 27. Dezember 2005 Autor Melden Teilen Geschrieben 27. Dezember 2005 nicht erschiessen, aber der Ansatz ist wirklich falsch. Du solltest Applikationen anhand des Hashes erlauben und den Rest verbieten. Sorry - bin halt doch irgendwie Klug********r.... jaja, war ja klar... :rolleyes: Es geht nicht, Punkt! Keine Alternativen verfügbar, sonst würd ich hier nicht schreiben... BTW: Eine Idee hätte ich noch bezgl. der GPs:Hast du denn mehrere Standorte? Sonst könntest du eine Standortrichtlinie einsetzen. Die greift über Domänen hinweg... Gilt das nur in einer Gesamtstruktur oder auch mit rein getrusteten, sonst unabhängigen Domains? Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 27. Dezember 2005 Melden Teilen Geschrieben 27. Dezember 2005 Also bei Trusts würde ich sagen - Geht nicht! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.